VS meldt actief misbruik van kritieke SolarWinds-kwetsbaarheid

Het Amerikaanse cybersecuritycentrum CISA heeft een nieuwe kwetsbaarheid toegevoegd aan zijn catalogus van actief geëxploiteerde beveiligingslekken. Het gaat om een ernstig lek in SolarWinds Web Help Desk CVE-2024-28986.

De kwetsbaarheid heeft een CVSS-score van 9.8 'kritiek' gekregen, omdat aanvallers hiermee mogelijk code kunnen uitvoeren op het hostsysteem. Het probleem treft alle versies van Web Help Desk tot en met 12.8.3. Gebruikers wordt aangeraden te upgraden naar versie 12.8.3 en vervolgens een hotfix te installeren. Hoewel SolarWinds het lek niet zonder authenticatie kon reproduceren, adviseert het alle klanten zo snel mogelijk de beschikbare patch te installeren. CISA waarschuwt dat dergelijke lekken vaak worden misbruikt door kwaadwillenden.

Door Andrei Stiru

Redacteur

20-08-2024 • 07:48

16

Submitter: Anonymoussaurus

Reacties (16)

Sorteer op:

Weergave:

Wat me elke keer weer verbaast met dit soort berichten, is het feit dat gebruikers nog niet eens de kans hebben gehad om te patchen.
Kwaadwillende zullen dit aangrijpen door actief te gaan zoeken en dus....

Stuur gebruikers een mail en stuur dit bericht een maand later de openbaarheid in.
Ik ga er natuurlijk vanuit, dat men heeft moeten registreren en er dus een mailadres bekend is.

De hotfix is overigens van 13-8-2024.

[Reactie gewijzigd door Verwijderd op 20 augustus 2024 08:04]

Waar lees je dat dit niet gebeurd is? De hotfix is er natuurlijk pas een week, mogelijk heb je gelijk hoor. Maar naar mijn idee is zodra je de gebruikers inlicht, dit ook meteen bekend bij de kwaadwillenden.

[Reactie gewijzigd door Jan-Remco op 20 augustus 2024 08:10]

Uiteraard. Als je een product hebt als dit met een redelijk klant bestand en je gaat iedereen mailen is het eigenlijk al direct publiek.

Er hoeft maar 1 klant te zijn die het vervolgens publiceert. Kan je het beter als bedrijf zelf naar buiten brengen.
Ik denk dat veel grotere boeven en geheime diensten ook wel abonnementen hebben op alle belangrijke softwarepakketten, alleen maar om extra toegang te hebben tot software en informatie zoals deze e-mails.
Als het actief misbruikt wordt, waarom zou je wachten?

En als er een mail gestuurd wordt naar de gebruikers, dan is het binnen mum van tijd toch wel openbaar.

Het lijkt mij dat het doel van zulke kwetsbaarheden aan de grote klok hangen gebruikers snel laten patchen is.
Dat voelt misschien niet helemaal fair, maar de ervaring leert dat als je het niet meldt, de patch veel later pas doorgevoerd wordt met alle gevolgen van dien.

[Reactie gewijzigd door DnJealt op 20 augustus 2024 08:15]

Die mail is dus al op 13 augustus en vermoedelijk nog eerder de deur uit gegaan. Dit bericht komt dan ook al laat, en niet vroeg. Dit is een prio 1 patch blijkbaar omdat er al actief misbruik van wordt gemaakt. Anders neemt CISA hem niet zomaar op in de KEV. Dan moet je eigenlijk binnen enkele dagen die patch kunnen uitrollen. Vanuit een vendor gezien wordt de mail zo snel mogelijk de deur uit gedaan, vaak al voor de patch klaar is, zodat beheerders voorbereid zijn. Op dat moment gaat vaak ook een bericht naar CISA, Cybersecurity Centra, etc met een classificatie van 'niet publiek'. Paar dagen erna volgt dan de publieke informatie als alle klanten bereikt zijn en de patch hadden kunnen installeren.

Kwaadwillenden waren al op de hoogte van de patch, anders wordt er niet al actief misbruik van gemaakt. Op deze manier wordt echter ook management wakker geschud en beheerders die de mail gewoon negeren. Management gaat vragen stellen, zeker met in het achterhoofd dat er niet heel lang geleden ook nogal wat problemen waren met Solarwinds.

Ik heb zelf nog niet zo lang in het verleden gezien dat sommige beheerders zelfs na 3x bellen en aandringen vanuit de vendor gewoon een patch niet installeren.
En wat is het verschil tussen dit publiek zetten en dit naar tienduizenden klanten sturen waardoor honderdduizenden mensen het lezen waarvan een deel het alsnog zal doorsturen naar de pers of gaat herposten op onder andere reddit?

En van zodra je een nieuwe versie uitbrengt, komen daar release notes bij. In die notes staat wat je hebt aangepast. Je kan dan wel simpelweg zeggen dat je een ernstige kwetsbaarheid hebt opgelost, maar dat is al voldoende voor aanvallers om op zoek te gaan naar wat er veranderd is en mogelijks alsnog de bug te reproduceren.

Neen, publiek bekend maken is de beste manier om er zeker van te zijn dat iedereen die het moet weten zo snel mogelijk op de hoogte wordt gesteld. Je wil niet weten van hoeveel kanten ik bijv. melding krijg als er ergens een ernstige kwetsbaarheid gevonden wordt in een product dat wij gebruiken. Gewoon maar omdat mensen zeker willen zijn dat we er ons bewust van zijn. Dat verlies je allemaal als je alles zou gaan verbergen. De ernst en de hoogdringendheid verdwijnen op zo een moment. En 1 enkel mailtje kan je al eens snel over lezen of gewoon missen.

Van zodra er een fix is gooi je alles wat je kan delen gewoon online, zodat iedereen zelf kan inschatten hoe ernstig het is, maar ook zodat bijvoorbeeld vendors van software die je moet helpen beschermen ook op de hoogte zijn. Zij moeten ook weten welke oplossingen er allemaal mogelijk zijn.

En wat als aanvallers het lek al misbruiken? Ook dan lijkt het mij het beste van het gewoon publiek te maken wat het lek is en hoe je het kunt tegen gaan.
Hackers die naar exploits zoeken kijken ook gewoon mee in code van de patches om te zien wat er veranderd is om zo te kijken of er iets te exploiten valt.
Op zich heb je best een punt maar als je alle klanten een bericht stuurt bereikt dat sowieso ook de media.
Ook lezen klanten vaak niet alle berichten die ze krijgen van leveranciers en wordt software vaak via resellers verkocht. Dus je kunt er niet vanuit gaan dat je iedereen herijkt. Daar kan publieke aandacht juist goed bij helpen.
En aangezien het lek actief misbruikt wordt kun je ook aannemen dat het in kwade kringen al ruim bekend is.
SolarWinds:
While it was reported as an unauthenticated vulnerability, SolarWinds has been unable to reproduce it without authentication after thorough testing.

Klinkt nou niet echt als een kritieke 9.8 maar meer als een: doe maar voor de zekerheid want wij weten het ook niet.

[Reactie gewijzigd door S.McDuck op 20 augustus 2024 08:16]

Dan kan je je ook afvragen hoe goed die patch getest is.
Het feit dat het reproduceren niet lukt wil niet automatisch zeggen dat de rapportering van de kwetsbaarheid foutief is. Je vertrouwt er op dat moment op dat diegene die het gerapporteerd heeft een systeem had in een configuratie waardoor het wel zonder authenticatie kan.
Misschien zijn er wel logs die aanduiden dat er geen login geweest is (bijvoorbeeld omdat een succesvolle login altijd gelogd wordt) maar geen logs die inzage geven in hoe de bypass werkt.
Mogelijk misbruik VS actief misbruik, de titel lijkt heel stellig, de tekst is zeker niet zo stellig.
CISA is vrij stellig
CISA has added one new vulnerability to its Known Exploited Vulnerabilities Catalog, based on evidence of active exploitation.
Een vulnerability wordt alleen aan KEV toegevoegd op het moment dat het actief misbruikt wordt.
Zie ook https://www.cisa.gov/known-exploited-vulnerabilities
Ook wel handig om te weten dat de hotfix ook zijn issues heeft:
To quickly deliver our customers a secure version of WHD, SolarWinds applied an aggressive security patch in WHD 12.8.3 Hotfix 1. In a few cases, this hotfix impacted some product functionality.
SAML Single Sign-On (SSO) no longer works after applying WHD 12.8.3 Hotfix 1.
WHD users cannot click the Upload button to attach files.
WHD users cannot click the Save or Cancel button during ticket creation.
Die laatste 2 lijken me nogal triviaal als je een ticket wilt aanmaken :+

Op dit item kan niet meer gereageerd worden.